Jaké technologie vlastně mohou pomoci s GDPR?

16. 1. 2018. (redaktor: František Doupal, zdroj: DCD Publishing a ISECO)
Vzhledem k aktuálnímu datu je již snad zcela nadbytečné, se zde věnovat otázce, co je Obecné nařízení o ochraně osobních údajů (dále též jen jako „GDPR“) a upozorňovat, že se prakticky dotkne většiny společností, a to nejen v Evropské unii. Pojďme si ale blíže osvětlit otázku, zda a případně jaké technologie mohou pomoci s řešením GDPR, resp. jakým způsobem.

V úvodu zmiňme jeden ze základních pilířů GDPR, který je nazýván jako tzv. přístup založený na riziku, v angličtině též označovaný jako Risk-Based Approach (neboli „RBA“). Ten je v dnešních dnech (dle aktuální legislativy, resp. dle § 16 zákona č. 101/2000 Sb.) řešen tím, že je správce povinen oznámit písemně svůj záměr (včetně taxativně uvedených parametrů), ještě před vlastním započetím samotného zpracovávání, a to dozorovému úřadu. Ten aktuálně provedl, na základě sdělených skutečností, vlastní posouzení, a to právě za použití přístupu založeném na riziku. Tato povinnost správcům s účinností GDPR (od 25. 5. 2018) odpadne, a posouzení veškerých rizik, dopadající na práva a svobody zpracovávaných fyzických osob, již bude posuzovat přímo sám správce. Posouzení bude založeno samozřejmě na veškerých okolnostech, jako například i na implementovaných technicko-organizačních opatřeních bezpečnostního charakteru, které se přímo dotýkají zpracování, tedy celého životního cyklu osobních údajů. Je nutno podotknout, že správce sám odpovídá za dodržení veškerých zásad zpracování osobních údajů dle GDPR a musí být schopen dodržení souladu doložit (zásada odpovědnosti).   

GDPR tedy v konečném důsledku může vést na velké množství technologií, které by klienti měli nasadit. Které technologie ale opravdu usnadní uvedení té, které společnosti, do souladu s Obecným nařízením? Odpověď nikdy nebude vyčerpávající, protože vždy záleží na konkrétní situaci, kontextu, a právě výše uvedeným rizikem zpracování, jenž se může časem neustále měnit. GDPR tedy ponechává vhodnou volbu technologických opatření na správci osobních dat.

Pokud hledáme vhodné technologie, o kterých se dá s klidným svědomím tvrdit, že k následnému udržení souladu s GDPR opravdu pomůže, je nutné se dívat dvěma pohledy. Prvním, jaké technologie pomohou s vlastním projektem k dosažení souladu s požadavky GDPR a druhým, které pomohou s následným provozem a plněním povinností během platnosti.

Nástrojů, které opravdu pomohou během projektu dosažení souladu, není mnoho. Praxe ukazuje, že jde jen o jednu skupinu nástrojů, označovaných jako data discovery. Jde o technologie, které umožní instituci získat reálnou představu o osobních údajích (obecně datech), které se uvnitř zpracovávají. Nástroje se nasazují na vybranou aplikaci/databázi/úložiště a prochází obsah. Pomocí mnoha parserů, a v závislosti na nastavení pravidel/patternů, se snaží identifikovat, o jaká data jde. Například tedy umožní detekovat, že se v databázích nebo v souborech na sdíleném disku ukládají rodná čísla, adresy, jména či jiné osobní údaje. Nesporná výhoda použití je, že tam, kde neexistuje dostatečná dokumentace nebo není lidsky možné rozklíčovat povahu zpracovávaných dat, nástroje dají (po následném extenzivním ručním zpracování) poměrně přesný obrázek.

V případě nástrojů pro následné udržení instituce v souladu s požadavky v době rutinního provozu je výběr již širší. Především pomohou následující typy technologií:

Bezpečnostní monitoring (SIEM, log management). Pro plnění povinnosti detekování, vyhodnocování a nahlašování bezpečnostních incidentů je potřeba je především umět vůbec detekovat. Nástroje typu Security Incident and Event Management jsou na trhu již mnoho let, a toto je přesně jejich účel. V případě, že již instituce SIEM nástrojem disponuje, jde o patřičnou úpravu v pravidlech a korelacích.

Identity and access management. Nástroje sjednocující elektronické identity uživatelů a zaměstnanců a jednotné místo nastavení přístupových práv a rolí. Zvláště pro plnění povinností vyplývajících z práv subjektů údajů (kde je stěžejní identifikace a unifikace datových množin k jednoznačné identitě) a jako prostředek pro omezení přístupu k osobním údajům těm, kteří nemají povolení pro jejich zpracování, jsou tyto nástroje velmi vhodným pomocníkem.

Data governance. Nástroje pro evidenci datových transformací v celé infrastruktuře v případě kvalitního zavedení a naplnění aktuálními daty velmi výrazně pomohou roli DPO při posuzování zákonnosti zpracování a zároveň usnadní nepříjemné dotazy jednak od vlastních subjektů údajů, co a kde se s jejich osobními daty děje, ale i od samotného dozorového orgánu v případě kontroly.

Data leak prevention. Tento typ bezpečnostních technologií není ve světě ničím novým. Vhodným zavedením dojde k výraznému snížení rizika zneužití nebo odcizení osobních údajů. Možnosti granulárního nastavení povoleného zacházení s daty a logování manipulace s nimi je vhodným podkladem jak pro odhalení případného nekalého chování, tak jako podklad pro kontrolu.

Business proces management. Platformy pro podporu obchodních procesů se v případě GDPR opatření uplatní jako místo pro evidenci výkonu práv subjektů údajů. Tedy v případě uplatnění práva (například práva na výmaz) je vlastní výkon procesem o řadě kroků, který musí končit potvrzením pro žadatele. Povinnosti v Nařízení vedou na schopnost být schopen vždy přesně vědět, kolik takových žádostí je proti instituci vzneseno, v jakém stavu řešení jsou, kolik jich bylo odbaveno a s jakým výsledkem. Toto vše je nutné dokumentovat a archivovat, což tyto nástroje s elegancí zastanou.

Na závěr je potřeba důrazně připomenout, že neexistuje žádný specializovaný software, o kterém lze prohlásit, že jeho nasazením se společnost dostává do suladu s Obecným nařízením GDPR. Každého správce i zpracovatele čeká velká práce, která zahrnuje revizi veškerých procesů, dokumentů, fyzických umístění, technologií a dalších míst, kde se ve společnostech nakládá s osobními údaji. Dále je nutné identifikovat nedostatky a napravit je. Doporučit lze tedy provedení pre-auditu, jehož cílem je zodpovědět základní otázky, které pomohou nejen technikům, ale i vedení společnosti se s požadavky GDPR vypořádat.

Autoři:
Jiří Slabý, head of consulting ve společnosti ISECO
Radek Beneš, senior security consultant ve společnosti ISECO

Štítky: 

Podobné články

Ťažká úloha: Ušetriť terabajty zálohovaných dát a zároveň ochrániť pred ransomwarem

31. 5. 2019. (redaktor: František Doupal, zdroj: Synology)
Dá sa to vôbec? Dnes máte vo vašej firme (malej, strednej či veľkej) dáta určite aspoň na dvoch miestach – na počítačoch a v cloude, napr. G Suite či Office 365. Zálohujete? Super! A ako? Pravdepodobne máte hardvér a k tomu zálohovací softvér. A predpokladáme, že súbory na G Suite (vrátane kalendárov či e-mailov) alebo Office 365 nezálohujete vôbec, všakže? A čo v prípade, že sa objaví hrozba ransomware a niektorý z počítačov vašich kolegov zostane zašifrovaný? Čtěte více

Big SafeBox Data a QNAP nabízejí zálohovací řešení ve shodě s GDPR

22. 5. 2019. (redaktor: František Doupal, zdroj: DCD Publishing a QNAP)
Společnost Big SafeBox Data zavedla ve Španělsku datové centrum QNAP NAS, aby mohla nabízet zálohovací řešení pro kanál QNAP ve shodě s nařízením GDPR. Čtěte více

Železnice Slovenské republiky udržují svá data v pohybu s mimořádnou dostupností díky technologiím Veeam

15. 5. 2019. (redaktor: František Doupal, zdroj: DCD Publishing a Veeam)
Železnice Slovenské republiky (ŽSR), které mají v sousedním státě na starosti správu a provoz klíčové dopravní, telekomunikační a rádiové infrastruktury, využívají řešení společnosti Veeam Software k zajištění permanentní dostupnosti na národních a regionálních tratích v délce téměř 3 600 kilometrů. Čtěte více

Jak zákazníky zaujmout komplexním zálohovacím řešením

13. 5. 2019. (redaktor: František Doupal, zdroj: DCD Publishing a Acronis)
Zákazníci jsou v současné době stále náročnější a jako prodejce řešení IT bezpečnosti musíte zaujmout řešeními a službami, které se odlišují od běžné konkurence. Například v oblasti zálohování dnes již nezískáte pozornost jen prostým zálohováním a obnovou, musíte ukázat něco navíc. Zákazníky můžete ohromit například přidanou ochranou proti ransomwaru, bezpečným úložištěm a schopností obnovy v řádu minut. Čtěte více